“Los antivirus no sirven para los dispositivos inteligentes”

Aprendió a programar a los 13 años con su primer ordenador, un Commodore 64. Fue el primer paso de Mikko Hyppönen (Finlandia, 1970) que, a partir de entonces, dedicó su vida al estudio de los virus informáticos y la lucha contra el cibercrimen. En 2011 siguió el rastro del primer virus de la historia, Brain, que utilizaba disquetes para infectar distintos ordenadores. Tal fue su obsesión que viajó hasta Lahore, en Pakistán, para conocer a sus creadores, los primeros responsables de un problema que tiene en jaque a medio mundo. Ahora, Mikko Hyppönen ha convertido la persecución a los virus en su vida. Y hasta los colecciona. Es considerado uno de los expertos en seguridad informática y privacidad más reputados del momento y es creador de la Ley Hypönnen sobre ciberseguridad que asegura que “todo lo que es inteligente es susceptible de ser atacado”. 

"Lo que quiero decir con esta afirmación es que cuando te dicen que un dispositivo es inteligente lo primero que deberías pensar es que es vulnerable", explica Hyppönen, que ha pasado este verano por Madrid para participar en la tercera edición de Connect, un congreso en el que se reunieron más de 600 desarrolladores para analizar el futuro de la programación. "Es una ley bastante pesimista porque defiende que cualquier aparato que está conectado a una red puede ser hackeado. Pero también es muy real".

El finlandés no pierde de vista la importancia de la concienciación en un entorno donde las nuevas tecnologías avanzan exponencialmente. Conforme aumenta la cantidad de objetos conectados a internet —lo que llamamos internet de las cosas— aumenta el riesgo a ser atacado. Y también la capacidad que tienen las empresas de recopilar nuestra información en el día a día. La revolución que está viviendo el IoT se debe, en parte, a la relación costes vs beneficios que está viviendo esta tecnología. "Se está convirtiendo en algo muy económico añadir conectividad a internet a las cosas. Cuando la conectividad es barata, los beneficios no necesitan ser muy amplios para que los vendedores la utilicen", explica Hyppönen.

Además, defiende que en muchos casos, los dispositivos no se conectan a la Red para beneficiar al consumidor, sino al empresario. Los accesorios del hogar pueden recolectar información sobre cómo y cuándo son usados y sobre la localización de los consumidores. Información como esta es extremadamente valiosa para los vendedores. "Esto significa que incluso las máquinas más mundanas, como las tostadoras, acabarán conectándose a la Red para recopilar datos", señala el experto. "Cuando el coste de la tecnología necesaria para conectar a la Red se reduzca a unos cuantos céntimos por unidad, todo estará conectado. Y sucederá para que los proveedores puedan recopilar la información que necesitan". Además, critica que la adopción de esta tecnología está guiada por "el ansia de los negocios para conseguir datos valiosos de los ciudadanos sin preocuparse de su privacidad o la protección de sus datos".

Esto no quiere decir que el IoT no ofrezca beneficios a los consumidores. Es tentador poder conectar tu cafetera mientras que todavía estás en la cama o poner la lavadora mientras estás en el trabajo. Las casas inteligentes también ofrecen una seguridad mejorada, como sistemas de seguridad que te avisan cuando detectan algo sospechoso. La eficiencia energética es otro beneficio, uno que se traduce en ahorro de dinero, por ejemplo, un termostato que optimiza el uso de energía basado en tu comportamiento. Pero también necesitamos protegernos de ellos.

Entonces, ¿cómo lo hacemos? "No podemos instalar software antivirus en una lavadora o en una tostadora. Ni siquiera en una televisión inteligente. Así que los vendedores deberían construir la seguridad directamente en sus dispositivos", defiende Hyppönen. El problema es que la ciberseguridad no es algo que se tenga en cuenta a la hora de vender una lavadora. Lo que se tiene en cuenta es el tamaño, el color, el precio, la capacidad de carga y los programas de lavado. "Debido a que la seguridad no es un requisito de venta, los proveedores de dispositivos no invierten mucho en ello. Esto conduce a aparatos inseguros. Y ya hemos visto a dónde lleva eso".

Este es solo uno de los aspectos de seguridad de IoT que necesita más atención. "Otros problemas son las actualizaciones de software poco frecuentes o inexistentes, la recopilación indiscriminada de datos y la falta de un cifrado de datos adecuado". ¿Qué opciones tenemos entonces? Según Hyppönen, que ahora trabaja como responsable de investigación en F-Secure, "siempre que los proveedores no estén protegiendo sus dispositivos, la mejor opción alternativa que tenemos es usar enrutadores de seguridad que aíslen los dispositivos de IoT en una red wifi separada e intente protegerlos a través de la Red".